Meskipun pasar mata uang kripto terjebak dalam resesi bearish yang parah, penipuan dan peretasan di Web3 marak sepanjang tahun 2022. Sejumlah kelas berat mata uang kripto terpusat tingkat atas juga runtuh karena manajemen risiko yang buruk dan manipulasi orang dalam.
Saat segmen crypto mendekati Tahun Baru, U.Today merangkum penipuan crypto paling berbahaya, akarnya, desainnya, dan kerugian yang ditimbulkannya. Kami juga telah menyiapkan ulasan singkat tentang penipuan crypto yang paling sering terjadi di media sosial yang menargetkan jutaan pengguna setiap hari.
Penipuan dan peretasan kripto tahun 2022: Fakta singkat
Menurut banyak laporan cybersec, dalam 11 bulan pertama tahun 2022, peretas dan scammer berhasil mencuri mata uang kripto dalam jumlah yang belum pernah terjadi sebelumnya sebesar $4.2 miliar, yang 37% lebih banyak daripada tahun 2021, ketika harga kunci kripto 2x-3x lebih mahal.
- Serangan terbesar dilakukan terhadap protokol lintas rantai — mekanisme jembatan Axie Infinity Ronin dan ekosistem multi-protokol Wormhole.
- Runtuhnya ekosistem Terra (LUNA), DeFi Anchor Protocol (ANC) utamanya, dan stablecoin TerraUSD (UST) yang dipatok dalam USD berkontribusi pada fase resesi bearish Q2-Q4, 2022.
- Drama seputar pertukaran crypto FTX yang sekarang sudah tidak berfungsi dan perusahaan perdagangan terkait Alameda Research adalah keruntuhan layanan terpusat terbesar sepanjang tahun 2022.
- Meskipun peretasan terbesar sedang dibahas secara luas di media, sebagian besar penipuan crypto diatur melalui metode lama: airdrops palsu, “program pemulihan” jahat, skema arbitrase penipuan, dan sejenisnya.
- Sejumlah peretasan besar tampaknya merupakan operasi topi putih: penyerang mengembalikan uang yang dicuri dengan imbalan hadiah bug yang mengesankan.
- Hampir 12% dari semua token BEP-20 dan 8% token ERC-20 adalah penipuan; 350 penipuan baru diluncurkan setiap hari.
Dalam ulasan ini, kami akan merujuk pada penipuan yang diluncurkan dengan sengaja dan proyek yang awalnya sah sebagai "penipuan", sementara "peretasan" adalah serangan pihak ketiga terhadap proyek sah yang dijalankan tanpa peristiwa "pekerjaan orang dalam".
Penipuan crypto teratas dan keruntuhan tahun 2022
Pada tahun 2022, Bitcoin (BTC), Ethereum (ETH), dan semua mata uang kripto utama kehilangan lebih dari 70-80% dari ATH mereka, sementara di sebagian besar segmen yang terpengaruh — token metaverse, token GameFi, ekosistem Solana (SOL) — kerugian rata-rata melebihi 90 %. Beberapa jurusan crypto gagal bertahan dari penurunan yang menyakitkan.
Terra (LUNA)/Terra USD (UST)
Platform kontrak pintar yang kompatibel dengan EVM Terra (LUNA) adalah salah satu pembunuh Ethereum (ETH) yang paling overhyped pada tahun 2021. Namun, bagian terbesar dari TVL-nya terkonsentrasi pada Anchor Protocol (ANC), mesin pertanian hasil sederhana yang menawarkan 19% APY pada deposito di Terra USD (UST), stablecoin yang dipatok USD dari Terra yang sekarang sudah tidak ada. Secara total, setara lebih dari $20 miliar dikunci di Anchor (ANC) pada Q1, 2022.
Namun, pada awal Mei 2022, seseorang mulai secara agresif mengirim UST ke kumpulan di Curve Finance (CRV) DeFi dan menukar token dengan USD Coin (USDC). UST kehilangan pasaknya. Terraform Labs dan CEO-nya Do Kwon mulai menyuntikkan likuiditas ke dalam mekanisme UST/LUNA. Namun, karena modal besar-besaran, baik LUNA dan UST jatuh ke nilai hampir nol. Blockchain Terra (LUNA) dihentikan untuk selamanya.
Seperti yang diliput oleh U.Today sebelumnya, para peneliti mengungkap bahwa Terraform Labs-lah yang memulai keruntuhan: transfer UST besar-besaran disahkan oleh Do Kwon. Pendiri Terra diduga lari ke Serbia dan mencoba mencairkan Bitcoin (BTC) miliknya di sana.
Modal Tiga Panah
Diluncurkan oleh Su Zhu dan Kyle Davies, alumni Universitas Columbia dan veteran Credit Suisse, Three Arrows Capital (3AC) adalah salah satu dana lindung nilai crypto yang paling berpengaruh. Itu mengumpulkan lebih dari $20 miliar dalam AUM berkat menjadi investor awal di Ethereum (ETH), Longsor (AVAX), Solana (SOL) dan lainnya.
Namun, LUNA yang runtuh adalah salah satu elemen kunci dari portofolio 3AC. Tim menginvestasikan lebih dari $600 juta di Terra (LUNA): saham besar ini terhapus dalam dua minggu setelah LUNA/UST runtuh.
Pada 16 Juni 2022, FT mengumumkan bahwa 3AC telah gagal memenuhi panggilan marginnya karena kehilangan Protokol Jangkar Terra. Perusahaan itu juga berada di bawah posisinya di Staked Ether (stETH) di Lido Finance (LDO) DeFi dan di Grayscale Bitcoin Trust (GBTC). Pada bulan Juni gagal membayar kembali pinjamannya ke raksasa crypto Voyager. Pada akhir Juli perusahaan tersebut dilikuidasi oleh pengadilan BVI sementara manajemen 3AC mengajukan kebangkrutan. Secara total, 20 investor di 3AC kehilangan lebih dari $3.5 miliar.
Voyager
Voyager, kreditur yang terdaftar di AS, juga menjadi korban dari manajemen risiko yang buruk: Voyager memberikan pinjaman tanpa jaminan sebesar $650 juta kepada Three Arrows Capital sementara AUM bersihnya hampir mencapai $5.9 miliar. Platform ini membanggakan 3.5 juta pelanggan, 97% di antaranya berinvestasi kurang dari $10,000.
Secara umum, Voyager runtuh karena timnya memilih strategi bisnis yang berisiko: Voyager menawarkan pinjaman ke berbagai layanan perdagangan dan pedagang mata uang kripto individu. Saat pemberi pinjaman mulai menarik uang mereka secara massal, pada awal Juli, Voyager membekukan dana pelanggan. Beberapa hari kemudian, mengajukan perlindungan kebangkrutan di New York.
Karena platform tersebut difokuskan pada pelanggan ritel berukuran kecil, keruntuhannya adalah yang paling menyakitkan bagi para penggemar cryptocurrency.
Celsius
Celsius sebenarnya adalah perusahaan pertama yang memberi sinyal tentang masalahnya: pada April 2022, platform mengumumkan bahwa mereka akan menahan semua aset investor yang tidak terakreditasi: oleh karena itu, sebagian pelanggan ini tidak dapat menyuntikkan likuiditas baru dan mendapatkan hadiah.
Pada Mei 2022, karena takut dengan drama UST dan Terra, pengguna mulai memindahkan uang dari protokol Celcius. Pada 12 Juni 2022, Celsius membekukan dana 1.7 juta nasabah (kebanyakan investor retail). Sama seperti Voyager, ia mengajukan kebangkrutan pada awal Juli.
Pada 14 Juli 2022, penasihat hukum Celsius Kirkland & Ellis berbagi bahwa para pemimpin platform diberi tahu tentang lubang senilai $1.3 miliar di neracanya.
FTX
Runtuhnya pertukaran cryptocurrency Sam Bankman-Fried FTX dan perusahaan investasi crypto terkait Alameda Research adalah drama paling mengejutkan di Web3: SBF dan timnya berusaha untuk mendapatkan kendali besar atas industri dengan menandatangani lusinan kemitraan, muncul di sampul Forbes dan segera.
Namun, neraca Alameda Research sangat bergantung pada FTX Token (FTT), mata uang kripto asli FTX. Itulah mengapa seluruh sistem runtuh ketika CEO Binance Changpeng “CZ” Zhao mulai menjual FTT secara agresif (setara lebih dari $500 juta dirilis oleh CZ).
Sama seperti dalam semua kasus serupa, investor mulai menarik uang mereka secara massal dari FTX. Platform menghentikan penarikan, SBF mengundurkan diri sebagai CEO dan mengajukan kebangkrutan. Sementara itu, diketahui bahwa dia menggunakan uang investor dan pelanggan di perusahaan perdagangannya sendiri, Alameda Research. Karena salah urus yang mengerikan, Alameda Research berada di bawah air. SBF ditangkap dan dibebaskan dengan jaminan sementara kerugian yang direalisasikan dari keruntuhan FTX memuncak setara $9 miliar.
Peretasan crypto teratas di tahun 2022
Sesuai an analisis dari pakar keamanan siber Merkle Science, jembatan lintas jaringan sangat rentan terhadap eksploitasi karena kompleksitas teknis dan karakternya yang sangat eksperimental:
Jembatan antar rantai seringkali lebih rentan terhadap eksploitasi karena memerlukan lebih banyak interaksi dan persetujuan kontrak daripada protokol lainnya. Selain itu, jembatan lebih rentan terhadap serangan karena dijalankan oleh kode komputer yang tidak diaudit. Selain itu, identitas validator/node yang menjalankan transaksi juga tidak diketahui
Pada tahun 2022, jembatan menjadi target utama serangan, sementara mekanisme DeFi lainnya juga dieksploitasi oleh peretas.
Lubang cacing
Pada 3 Februari 2022, peretas menyerang Wormhole, sebuah jembatan yang dirancang untuk memfasilitasi transfer nilai tanpa batas antara blockchain yang heterogen. Karena kerentanan dalam kode, mereka berhasil mengeluarkan 120,000 Wrapped Ethers (wETH) pada blockchain Solana (SOL) tanpa memasang agunan Ethereum (ETH) yang sesuai.
Peretasan dapat menyebabkan kebangkrutan platform DeFi mana pun yang siap menerima 120,000 weTH (dicetak begitu saja) sebagai jaminan. Untungnya, skenario terburuk tidak terjadi.
Jump Crypto, perusahaan induk dari layanan Wormhole, mengambil semua kerugian: mereka segera mengisi kembali 120,000 Ether ke kumpulan likuiditas protokol.
Ronin
Pada tanggal 23 Maret, peretas Korea Utara dari Lazarus, kelompok kriminal dunia maya terkenal yang didukung negara, menyerang jaringan Ronin. Ronin adalah sidechain mirip Ethereum yang dikembangkan khusus untuk Axie Infinity, GameFi unggulan. Penyerang menguras Ronin sebesar $568 juta.
Peretas berhasil menguasai lima dari sembilan tanda tangan validator untuk Ronin Bridge. Kemudian mereka mengesahkan dua transaksi, 173,600 Ether (ETH) dan 25.5 juta USD Coin (USDC). Dari jarahan yang mengerikan ini, lebih dari $445 juta dicuci melalui mixer crypto Tornado Cash.
Pengembang Axie Infinity, Sky Mavis mengumpulkan dana tambahan, memerintahkan audit keamanan lain oleh CertiK dan meningkatkan ambang batas multisig dari 5/9 menjadi 8/9.
Pengembara
Pada Agustus 2022, Nomad, mekanisme jembatan multi-rantai yang memindahkan nilai antara Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) dan blockchain lainnya, terkuras sebesar $190.7 juta dalam crypto. Penyerang berhasil mengeksploitasi kerentanan desain kontrak pintar: protokol memungkinkan pengguna untuk menarik dana pada blockchain target tanpa memeriksa apakah jumlahnya setara dengan jumlah yang awalnya digunakan.
12/ tl;dr pemutakhiran rutin menandai hash nol sebagai root yang valid, yang memungkinkan pesan dipalsukan di Nomad. Penyerang menyalahgunakan ini untuk menyalin/menempelkan transaksi dan dengan cepat menguras jembatan dalam hiruk pikuk gratis untuk semua
— ini sekarang menjadi akun shitpost (@samczsun) 2 Agustus 2022
Sederhananya, setelah peningkatan reguler, pengguna dapat menyetor 1 ETH di Ethereum (ETH) dan meminta penarikan setara 100 Ethereum (ETH) dari Avalanche (AVAX).
Masalahnya, setiap penggemar Web3 yang paham teknologi dapat mereplikasi vektor serangan ini dan mencuri dana dari Nomad sebelum tambalan dirilis. Dengan demikian, banyak pengembang Ethereum (ETH) menarik dana hanya untuk mengirimnya kembali ke tim Nomad: hampir $40 juta dikirim kembali.
Pohon Kacang
Pada 16 April 2022, proyek stablecoin berbasis Ethereum, Beanstalk (BEAN), menjadi sasaran serangan flash loan yang canggih. Yakni, penjahat berhasil mendapatkan flash loan di Aave Finance (AAVE) dan membeli sejumlah token tata kelola yang diperlukan untuk merebut kendali atas referendum on-chain protokol.
Kemudian para penyerang memperoleh mayoritas suara dan menyetujui transfer uang ke rekening mereka sendiri. Ketika $180 juta ditransfer, mereka segera melunasi flash loan; laba bersih melebihi $80 juta.
bisu musim dingin
Pada September 2022, Wintermute, salah satu platform pembuat pasar terbesar, dompetnya terkuras sebesar $160 juta. Penyerang mengungkapkan bahwa beberapa dompet kunci Wintermute dibuat dengan kata-kata kotor, generator "alamat batil" untuk jaringan Ethereum (ETH). Program semacam itu dapat membuat dompet crypto dengan alamat yang dapat dibaca manusia, misalnya, 0xJohnDoe1111… dan sejenisnya.
Karena kerentanan dalam desain Kata-kata kotor, penyerang berhasil memaksa alamat batil dan memulihkan kunci pribadi. Serangan itu menjadi mungkin karena sumber daya komputasi yang signifikan digunakan oleh penjahat.
Bonus: Jangan tertipu penipuan jangka panjang ini
Di samping skenario canggih yang mencakup pinjaman kilat $1 miliar, peretas Korea Utara dan perangkat keras yang mengesankan untuk kampanye penipuan yang sangat primitif dan paksa bermunculan di sana-sini. Tiga desain serangan sangat umum di crypto pada tahun 2022:
1. Airdrop palsu. Untuk menjalankan penipuan ini, penjahat mengatur kampanye iklan YouTube atau memasang iklan mereka di Twitter. Kemudian mereka mengumumkan bahwa selebritas internet (Snoop Dogg), pengusaha teknologi top (Vitalik Buterin atau Elon Musk) atau bahkan politisi (Donald Trump) sedang mengirimkan cryptocurrency. Semua yang siap mengklaim bonus mereka harus mengirim setoran awal (yang diduga akan dikembalikan dengan keuntungan 100%) atau kunci pribadi mereka. Tak perlu dikatakan bahwa kedua kelompok akan kehilangan simpanan atau semua uang dari dompet mereka.
Bagaimana melindungi diri: Jangan pernah mengirim uang Anda ke “penyelenggara airdrop” atau mengungkapkan kunci pribadi atau frase seed Anda.
2. Bot MEV buatan tangan. Maximal extractable value (MEV) adalah hadiah maksimum yang dapat diperoleh peserta jaringan Ethereum (ETH) atas kontribusinya dalam proses validasi blok. Teknik canggih memungkinkan kita untuk mendapatkan keuntungan dari mengoptimalkan MEV. Penipu menempatkan manual video atau teks tentang cara membuat "bot MEV" Anda sendiri untuk mendapatkan akses ke dompet Ethereum (ETH) dan menguras dana.
Bagaimana melindungi diri: Hindari bot MEV "instan" dari manual YouTube.
3. Penipu datang untuk menyelamatkan. Karena 2022 jelas merupakan tahun peretasan, banyak pengguna crypto memeriksa apakah blockchain favorit mereka rusak. Penipu memposting pengumuman palsu tentang proyek ini atau itu yang diretas dan meluncurkan program "kompensasi" palsu. Semua yang tertarik dengan kompensasi diminta untuk mengirimkan frase benih mereka ke scammers.
Bagaimana melindungi diri: Hanya periksa berita tentang peretasan di saluran media resmi blockchain.
Pikiran penutup
Pada tahun 2022, sebagian besar keruntuhan dipicu oleh jatuhnya harga cryptocurrency yang menyakitkan, manajemen risiko yang buruk, dan keserakahan pemilik produk cryptocurrency terpusat. Itulah mengapa desentralisasi adalah masalah besar: kebijakan kerumunan DAO akan mencegah terjadinya keruntuhan skala FTX/Celcius/Voyager.
Sementara itu, produk on-chain harus memperhatikan audit keamanan, pembaruan, dan manajemen jet pribadi.
Sumber: https://u.today/top-10-crypto-scams-and-hacks-of-2022